[sysshield]系统安全盾

紫狐 · 发表于 2006-9-7 17:59:09

另外，有网友提出这两个建议：
试用中，感觉不错。提几个建议：

1、能否将界面字体改为更美观Tahoma8？这应该更加符合XP的使用习惯。或者增加能够自定义字体的功能。
2、服务管理列表中能否增加显示服务名称的功能？

xdg3669 · 发表于 2006-9-7 18:08:40

原帖由紫狐于 2006-9-7 05:57 PM 发表
我估计也是SATA的驱动引起的，今天使用快速净化后也是出现蓝屏，也是使用SATA硬盘，使用Intel芯片组，不用安装SATA驱动的。

但我可没有SATA硬盘呀？或许，我用的是克隆版的，也许携带有SATA驱动！这不应该导致我IDE硬盘蓝屏呀！

[ 本帖最后由 xdg3669 于 2006-9-7 07:01 PM 编辑 ]

wang6071 · 发表于 2006-9-7 18:47:38

原帖由紫狐于 2006-9-7 05:59 PM 发表
另外，有网友提出这两个建议：
试用中，感觉不错。提几个建议：

1、能否将界面字体改为更美观Tahoma8？这应该更加符合XP的使用习惯。或者增加能够自定义字体的功能。
2、服务管理列表中能否增加显示服务名称 ...

-------------------------------------------------------------------------
改字体是不行的,因为不只是winxp用.
自定义更不会去实现,这个并非举手之劳，毕竟syscheck是一个维护软件而非应用软件．

服务列表显示服务管称及服务描述都可以实现，但将使服务的显示速度增加不少．如果要求做和给win的一样，不如直接做个按钮调用win的算了．提这种要求的多半是菜鸟，不适合用syscheck这样的工具．syscheck做这个服务页不是为功能全，好看用的，方便调整服务管理用的，是要以时间，厂商来分析判断是否有后门驱动的．

当然，为方便使用，新的syscheck的服务页右键功能已做得与win的基本一样了．可以自由定义起动类型等,．这个功能对调试驱动的朋友来说是有用的．

------------------------------------------------------------
新版暂不放出，还是想再对兰屏问题研究一下．
#1588楼的syshcheck有兄弟用后蓝屏了吗？有使用前后导出注册表服务的兄弟上传一下文件,文件应包括：
1:使用快速净化前的注册表服务 1.reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
2:使用净化蓝屏后的注册表服务 2.reg
即使用#1588楼的syscheck（这个版本不重启）,执行完成后在重启机器前导出2.reg
3:净化过程中生成的　还原禁用的服务.bat
4:重启后有蓝屏现象才上传附件，正常的就不必分析了．

xdg3669 · 发表于 2006-9-7 18:50:16

用最新的syscheck2测试情况：

未卸载卡巴时和卸载卡巴时两种情况测试快速净化，提示完成所有任务，重启都已经不再蓝屏！但未卸载卡巴时在自启动项目里有一项卡巴的启动项目未停掉(图1)！好像这一项是启动卡巴服务的！

看来成功了！

[ 本帖最后由 xdg3669 于 2006-9-7 07:39 PM 编辑 ]

wang6071 · 发表于 2006-9-7 20:22:33

原帖由 xdg3669 于 2006-9-7 06:50 PM 发表
用最新的syscheck2测试情况：

未卸载卡巴时和卸载卡巴时两种情况测试快速净化，提示完成所有任务，重启都已经不再蓝屏！但未卸载卡巴时在自启动项目里有一项卡巴的启动项目未停掉(图1)！好像这一项是启动卡巴 ...

谢谢xdg3669兄弟的测试,现在上传新的1.0.0.28_1版,

继续楼上说明的测试步骤,这次如不出问题就ok了.

如果出问题,也可通过导出的注册表分析出原因.找出那个驱动来.

本版的服务页右键功能已完成.

(avp就是卡巴的注册表保护，当前先解决蓝屏问题,然后再尝试解除注册表保护)

[ 本帖最后由 wang6071 于 2006-9-7 08:24 PM 编辑 ]

emca · 发表于 2006-9-7 20:34:33

哈哈，我把这些工具在赢政放出去，被人抢破头了！

网友组团起诉流氓软件厂商中搜成为首个目标

网友组团起诉流氓软件厂商中搜成为首个目标
http://tech.china.com/zh_cn/zhua ... 60905/13600838.html 深山红叶(26297628) 19:46:55
http://tech.china.com/zh_cn/zhuanti/lm/

wxdjs · 发表于 2006-9-7 20:56:49

原帖由 6618 于 2006-9-6 11:30 PM 发表

你用红叶的“快速净化系统”试试，我懒得去找在哪一楼有下了，我这里传一个给你，你试试吧，说不定用了以后能装上你的显卡驱动。

用了这个没用，还是只有4色，我晕死了，显卡驱动倒是显示安装完成的，看了看基本服务应该都开的，不过下面的win系统服务优化3.15没试，因为在机子上不能运行，唉，搞晕了，看来只能重装了，

xdg3669 · 发表于 2006-9-7 21:05:43

经测试syscheck(1.0.0.28），没有任何监视，没有杀软，点ok后重启，用正常模式，安全模式均再次出现蓝屏信息！只有用最后一次正确配置可以启动！

备份信息及服务注册表在附件。

wang6071 · 发表于 2006-9-7 21:08:51

原帖由 wxdjs 于 2006-9-7 08:56 PM 发表

用了这个没用，还是只有4色，我晕死了，显卡驱动倒是显示安装完成的，看了看基本服务应该都开的，不过下面的win系统服务优化3.15没试，因为在机子上不能运行，唉，搞晕了，看来只能重装了，

-----------------------
今天我用快速净化，也是出现蓝屏，只能恢复成最后一次正常启动才能进入系统（不过这是在安全模式下），然后再一次快速净化，但没自动重启，手动重启后可以，不过就是显卡的驱动死活装不上，现在只能用默认vga（因为这个才能用真彩），安装显卡驱动后只有4色，郁闷死了。
-----------------------
你在做再次净化前应该:
将 syscheck清理前备份那个文件夹中的服务备份.reg 拷出来另来,这样的话双击这个文件,重启就恢复了.结果你是再次执行导致了该文件覆盖.

下面两个方法你可以试一下:

到我的电脑-->属性-->设备管理器-->显示卡
将那个显示驱动删除,重启一般可以重新认识显卡.

如果不行,有显卡驱动盘就用驱动盘重装显卡驱动(到驱动之家下载驱动也行)

6618 · 发表于 2006-9-7 21:20:01

原帖由 wxdjs 于 2006-9-7 08:56 PM 发表

用了这个没用，还是只有4色，我晕死了，显卡驱动倒是显示安装完成的，看了看基本服务应该都开的，不过下面的win系统服务优化3.15没试，因为在机子上不能运行，唉，搞晕了，看来只能重装了，

试试这个看能不能运行，如果能运行，先还原为默认值，再重装显卡驱动。

wang6071 · 发表于 2006-9-7 21:22:15

原帖由 xdg3669 于 2006-9-7 09:05 PM 发表
经测试syscheck(1.0.0.28），没有任何监视，没有杀软，点ok后重启，用正常模式，安全模式均再次出现蓝屏信息！只有用最后一次正确配置可以启动！

备份信息及服务注册表在附件。

哈哈,原来确实是硬件原因,再试这一个,直接完成后重启的,应该ok了.(去掉了硬件驱动部份,留下的是想监测的)

如果成功,再装卡巴试，看一看生成的还原禁用的服务.bat 的
rem 行，是不是把卡巴的驱动给找出来啦．(即使无法改动驱动的启动类型,也可检测出rootkit,只要能检出,rootkit就没戏啦)
(不蓝屏可以直接双击这个批处理就还原了禁用的驱动了，不必用备份导入)

[ 本帖最后由 wang6071 于 2006-9-7 09:34 PM 编辑 ]

6618 · 发表于 2006-9-7 21:38:48

原帖由紫狐于 2006-9-7 05:57 PM 发表
我估计也是SATA的驱动引起的，今天使用快速净化后也是出现蓝屏，也是使用SATA硬盘，使用Intel芯片组，不用安装SATA驱动的。

我也是这个观点,我还是认为是DISK.SYS这个磁盘驱动的启动方式的更改引起的，但我不能理解的是，再次净化，重启再次进XP故障控制台，使用listsvc命令查看，发现disk这个驱动是启动的，但重启还是蓝屏，但我进入控制台我输入之前说的那个命令，即：
enable disk service_boot_start 重启，机子却不会蓝屏。

如果大家感兴趣，把下面的内容存为注册表文件，导入注册表，重启机子就会蓝屏，蓝屏代码也和我上传的一模一样，不信就试试：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Disk]
""ImagePath""=hex:73,79,73,74,65,6D,33,32,5C,44,52,49,56,45,52,53,\
5C,64,69,73,6B,2E,73,79,73,00
"Start"=dword:00000004

[ 本帖最后由 6618 于 2006-9-8 02:41 AM 编辑 ]

wang6071 · 发表于 2006-9-7 21:55:18

原帖由 6618 于 2006-9-7 09:38 PM 发表

我也是这个观点,我还是认为是DISK.SYS这个磁盘驱动的启动方式的更改引起的，但我不能理解的是，再次净化，重启再次进XP故障控制台，使用listsvc命令查看，发现disk这个驱动是启动的，但重启还是蓝屏，但我进入控 ...

enable disk service_boot_start
这个命令可能不光是调整服务为boot,估计还会禁用第三方驱动服务.这个禁用开关在哪里可以如下测试:
先还原最开初的的样子,导出注册表服务键,
再重启到命令行模式执行enable disk serice_boot_start
启动后再导出服务键,比较一下两者之间的差别,或许可以找到这个命令的其它作用.

另外,试过#1603楼的syscheck没有,这个版本在你的机器上反应如何?

[ 本帖最后由 wang6071 于 2006-9-7 09:59 PM 编辑 ]

6618 · 发表于 2006-9-7 22:14:52

刚试过#1603楼的syscheck，快速净化后不会蓝屏，但没有声音也上不了网（如下图），还原服务的内容如下：
sc config "ac97intc" start= DEMAND
sc config "ALCXWDM" start= DEMAND
sc config "EQSpyWatch" start= DEMAND
sc config "FETNDIS" start= DEMAND
sc config "gameenum" start= DEMAND
sc config "Gpc" start= DEMAND
sc config "HidUsb" start= DEMAND
sc config "ialm" start= DEMAND
sc config "Imapi" start= system
sc config "intelppm" start= system
sc config "Ip6Fw" start= DEMAND
sc config "mssmbios" start= DEMAND
sc config "ms_mpu401" start= DEMAND
sc config "NPF" start= DEMAND
sc config "npkcrypt" start= AUTO
sc config "NwlnkFlt" start= DEMAND
sc config "NwlnkFwd" start= DEMAND
sc config "RDPCDD" start= system
sc config "rdpdr" start= DEMAND
sc config "RTL8023xp" start= DEMAND
sc config "SmartAVS" start= DEMAND
sc config "TermDD" start= system
sc config "usbprint" start= DEMAND
sc config "vmm" start= system
sc config "xFileMgr" start= system

wang6071 · 发表于 2006-9-7 22:37:12

原帖由 6618 于 2006-9-7 10:14 PM 发表
刚试过#1603楼的syscheck，快速净化后不会蓝屏，但没有声音也上不了网（如下图），还原服务的内容如下：
sc config "ac97intc" start= DEMAND
sc config "ALCXWDM" start= DEMAND
sc conf ...

这就证明成功了呀!没有声音也上不了网,你可以从这人批处理中看到ac97intc
RTL8023xp 这样的驱动，从字面上也可看出是你的声卡，网卡驱动，当然有此反应了．

快速净化的目的中禁用可能的木马服务，让你在干净的系统下执行文件删除，注册表清理等工作．这个备份就是为了还原你的其它正常服务而准备的．

当然，为了快速清理，你可以在快速净化重启后用上面的批处理还原你的原有服务．然后再在syscheck中去删除那些木马服务．(这个批处理中的服务对象就是要重点检查的对象)

因为这些服务都禁用了，所以重启后删除及其容易．做完清理工作再重启一次，就还原到了正常的系统．

快速清理的设计目的就是中了恶意难缠的木马病毒下先还原到一个干净的环境，再来清除木马．所以syschek的备份并不是没有用．

[ 本帖最后由 wang6071 于 2006-9-7 10:39 PM 编辑 ]

xdg3669 · 发表于 2006-9-7 23:00:07

测试试过#1603楼的syscheck，快速净化后不会蓝屏！比较正常！装回卡巴时在还原禁用的服务.bat多了一行

Rem 服务 AVP 键值受保护,请检测是否是木马！

能正常上网！但在设备管理器中有许多地方出现了黃色叹号！

禁用的服务：

sc config "Adobe LM Service" start= DEMAND
sc config "ALCXWDM" start= DEMAND
sc config "AmdK8" start= system
Rem 服务 AVP 键值受保护,请检测是否是木马
sc config "gameenum" start= DEMAND
sc config "Gpc" start= DEMAND
sc config "HidUsb" start= AUTO
sc config "ialm" start= DEMAND
sc config "Imapi" start= system
sc config "intelppm" start= DEMAND
sc config "Ip6Fw" start= DEMAND
sc config "kbdhid" start= system
sc config "mouhid" start= DEMAND
sc config "mssmbios" start= DEMAND
sc config "ms_mpu401" start= DEMAND
sc config "npkcrypt" start= AUTO
sc config "nv" start= DEMAND
sc config "NwlnkFlt" start= DEMAND
sc config "NwlnkFwd" start= DEMAND
sc config "ose" start= DEMAND
sc config "Processor" start= system
sc config "RDPCDD" start= system
sc config "rdpdr" start= DEMAND
sc config "TermDD" start= system
sc config "USBCCGP" start= DEMAND
sc config "USBOHCI" start= DEMAND

[ 本帖最后由 xdg3669 于 2006-9-8 05:41 PM 编辑 ]

wang6071 · 发表于 2006-9-7 23:11:46

xdg3669兄弟你运行一下还原禁用的服务.bat 然后重启一下就正常了．
-------------------------------------------------------------------------------------------

我整理了一下使用本功能的说明，大家参照一下：

关于快速净化功能键的说明:

1:快速净化后会在你的桌面上生成[Syscheck修复前备份]文件夹,本文件中包含文件如下:
  a.WinSock备份.reg
  b.还原禁用的服务.bat
  c.hosts还原.bat 及hosts文件
  e.如是有启动组中的快捷方式或程序,也会移入本文件夹中.
  f.原来的注册表启动,都移入Msconfig可管理的禁用项目中.

  多次执行快速净化请将第一个[Syscheck修复前备份]文件夹改名保存,因为程序会覆盖原有

文件.仅第一个备份是您的最初系统备份.

2:快速净化的功能:
  a:禁用了一切启动文件.
  b:删除了一切插件,一切对正常系统不该存在的东西.
  c:禁用了第三方服务.
  d:还原了默认winsock.
  e:将hosts文件改为了默认的127.0.0.1    localhost 一行.
  f:删除各盘根目录下的Autorun.inf
  g:删除windows Program Files目录下的*.com文件
删除system32下与*.exe同名的*.com文件.

3:使用快速净化的处理方法:

  1:净化后你的系统的一些功能可能不能使用,不必担心,备份中都有.
  2:建议先运行Msconfig,从禁用列表中还原禁用的启动项目,然后在syscheck中将不再使用的

启动项目删除.快捷方式如果想保持启动也可拖回到启动组中.
  3:然后打开hosts文件,查看有无您不想要的项目,修改后可用host还原.bat持贝它到它应在

的位置.
  4:打开还原禁用的服务.bat,看一下有无 "Rem 服务 XXXX 键值受保护,请检测是否是木马"
如果存在,请确定一下该服务是否是杀软,非杀软就可能是木马了.删除这个服务可能需要光盘

启动到别的系统中去删除.
  然后我们运行还原禁用的服务.bat,运行后对照本批处理所还原服务检测是否是正常的服务,

如果是正常别担心,我们已经还原它了.如果不是正常服务,则可以轻易地在syscheck的服务管

理中删除.(因为还原后到重启前,该服务没有运行,所以很容易删除).
  5:做完清理工作再重启一次，上网试一试,如果不行,则用备份的winsock.reg还原(可能需要

重启)

  通过以上5步,我们就可以在一个干净的环境下清除木马,快速处理文件删除了.

[ 本帖最后由 wang6071 于 2006-9-7 11:13 PM 编辑 ]

wang6071 · 发表于 2006-9-7 23:21:16

原帖由 xdg3669 于 2006-9-7 11:13 PM 发表
还原禁用的服务后一切正常！卡巴也可正常启动了，但服务备份导不回，就没大碍吧？

无大碍,是卡巴的保护(导入整个服务键要写卡巴的avp服务键，它不让写所以导入有出错提示，但我们并没有改写avp的状态，所以不导是可以的)

我们所改写的服务通过批处理已经还原了．

我空间上的syscheck(1.0.0.28)已经取消了服务.reg 的备份(没必要备份了，加快一点处理速度),批处理完全可以还原你原有系统的状态.

使用win2000的兄弟可能系统中没有sc.exe文件，从xp或2003中持入一个放到windows或windows\system下即可．

如果卡巴有winsock钩子，可以导入一下备份的 winsock.reg.没有就不用导了．

[ 本帖最后由 wang6071 于 2006-9-7 11:40 PM 编辑 ]

6618 · 发表于 2006-9-8 02:46:01

原帖由 wang6071 于 2006-9-7 10:37 PM 发表
这就证明成功了呀!没有声音也上不了网,你可以从这人批处理中看到ac97intc
RTL8023xp 这样的驱动，从字面上也可看出是你的声卡，网卡驱动，当然有此反应了．

快速净化的目的中禁用可能的木马服务，让你在干净的系统下执行文件删除，注册表清理等工作．这个备份就是为了还原你的其它正常服务而准备的．

这个我也知道，AC97，RTL8023等都是非MS的服务，给禁用了自然就会这样。

6618 · 发表于 2006-9-8 02:51:53

回过头思考syscheck(1.0.0.27)版，为什么会蓝屏，我猜是某一硬件驱动的启动方式的更改引起的，是不是DISK.sys引起的，至今仍是个谜，不过在参与的过程中也明白了更多的东西。

emca · 发表于 2006-9-8 07:38:17

我的测试报告：

从Wangsea U盘中下载的最新版本 Syscheck，Windows XP。
执行后并没有蓝屏，但系统随即自动重启。
重启后，鼠标不能操作（服务已经禁止，应当是正常现象），因此一般用户此时根本没有办法：）

恢复服务后，重启，一切还原到正常状态，此时浏览器BHO、自动启动项目全部消失（效果良好！）

但查看桌面备份目录，只有Hosts、Winsock以及服务状态的备份，却没有看到自动启动项目的备份。我想还原以前的自动启动项目就稍嫌麻烦了。

因此，建议如下：
1. 净化后能否不立即重启，而改成可选是否立即重启（或延时15秒后自动重启，以防某些系统无法操作时能够自动重启进入干净状态）？
2. 重启后鼠标无法操作，有些不便。但不知道Windows为什么即插即用此时不生效了，不能再次自动检测到鼠标？
3.自动启动项目最好能够有个备份，一方面便于恢复，另一方面便于事后分析。

sck · 发表于 2006-9-8 07:45:26

在使用说明最新增加的部分最好与原来的说明每行长度一致。

xdg3669 · 发表于 2006-9-8 09:14:56

2. 重启后鼠标无法操作，有些不便。但不知道Windows为什么即插即用此时不生效了，不能再次自动检测到鼠标？

--------------------------------------------------------------------------------------------------------------------------

这个问题我猜测可能是syscheck2禁用到了部分硬件驱动服务，从重启后的设备管理器的叹号应该知道了部分硬件此时不能准确识别。好像c光驱. 处理器.声音部分等。如果是这样的话，不还原禁用的服务前,可能兼容性就很难了！

[ 本帖最后由 xdg3669 于 2006-9-8 10:43 AM 编辑 ]

longwang · 发表于 2006-9-8 11:04:56

to wang6071：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot键值下有系统默认安全的驱动组，其实就是安全模式的驱动组，不知有没有参考意义。当然也有木马加入了该健下。禁用项可以考虑排除它们，不知道实现有没有难度，也不知到效果如何，仅供参考。

[ 本帖最后由 longwang 于 2006-9-8 11:06 AM 编辑 ]

紫狐 · 发表于 2006-9-8 11:39:28

昨天有网友说在win2k3 en下面无法运行，不知道有没有使用win2k3的朋友参与测试？

wang6071 · 发表于 2006-9-8 12:48:50

原帖由 longwang 于 2006-9-8 11:04 AM 发表
to wang6071：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot键值下有系统默认安全的驱动组，其实就是安全模式的驱动组，不知有没有参考意义。当然也有木马加入了该健下。禁用项可以考虑排除它 ...

真是绝好的消息,从名称上看已知是安全模式下加载的驱动,而且分了带不带网络连接,且是本机的.也许可以让快速净化更稳定.谢谢你的资料,研究一下先.....

2k3下用syscheck没问题,偶就是中文2k3下写的.2k3打了sp1包后仅内核hook不能检测.(所以偶的2k3未打sp1包),想要支持需要加驱动才行.(以前测试的那个驱动应该项没问题,但为了简化处理及防止驱动冲突,暂时不加驱动).
除了内核hook外,其它功能使用应该项没有问题.e文2k3出问题可能是没有宋体.

xdg3669 · 发表于 2006-9-8 17:46:32

原帖由 longwang 于 2006-9-8 11:04 AM 发表
to wang6071：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot键值下有系统默认安全的驱动组，其实就是安全模式的驱动组，不知有没有参考意义。当然也有木马加入了该健下。禁用项可以考虑排除它 ...

分为最小启动和带网络连接,且是本机的！好东西。

wang6071 · 发表于 2006-9-8 21:43:16

安全盾1.3覆盖更新包,本次更新如下:

  输出原来在顽固文件中删除却未输出的文件名.
  将响应速度调高了一点.

  再次修订免检规则,现在为:
  1:若免设免检 ,其它选x,则此目录是免检目录.
  2:若设成免检+模糊(不包含子目录规则时)
则不受父目录影响,免检+模糊规则仅影响主目录,相当于子目录免检.
3:若设成免检+子目录 ,则除免检名单中的文件免检外,其余文件受父目录规则影响.
  4:若设成免检+子目录+模糊
则不受父目录影响,免检+子目录+模糊规则作用于本目录及子目录中.

  希望大家多研究一下以更好地定义目录规则.(提示,可以在windows下新建一个目录并为此目录定制一定规则,然后手动复制文件测试你定制的规则是否有效).

wang6071 · 发表于 2006-9-8 22:29:34

syscheck 1.0.0.29
修复快速净化在卸载外部dll时的一个循环错误.

增加快速净化时对启动项的注册表备份,以便不习惯用Msconfig的用户还原.(Msconfig方式仍然保留,清理Msconfig中禁用的注禁表项目可以先还原但不重启.再用syscheck的活动文件管理去删除)
过滤掉对windows\system32\ctfmon.exe的清除

添加按win安全模式加载的驱动过滤服务,以取得更好的兼容性.

增加快速净化后用户对是否重启的选择,以便有特殊手动操作的需要.(如不重启,可手动编译快速净化中生成的.reg及.bat文件并立即执行,重启后会有更好的硬件兼容性)

[ 本帖最后由 wang6071 于 2006-9-8 10:41 PM 编辑 ]

namejm · 发表于 2006-9-8 22:53:08

　　发现一个问题：点击内核检测中的定位文件的按钮之后，绝大部分情况下都没反映。

		自动登录	找回密码
密码			注册